米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は12月9日、「Cisco Releases Security Advisory for Multiple Products Affected by Apache HTTP Server Vulnerabilities」において、米シスコシステムズがApache HTTP Serverに報告されている既知の脆弱性の影響を受ける自社製品に関するアドバイザリをリリースしたと伝えた。
該当する脆弱性はApache HTTP Server 2.4.48以前のリリースに含まれる5件で、悪用されるとリモートの攻撃者によって任意のサーバにリクエストを転送されたり、サービス運用妨害(DoS)状態を引き起こされたりする危険性がある。
Apache Software Foundationは、2021年9月16日にApache HTTP Server 2.4.48以前に影響する次の5件の脆弱性を報告している(末尾のかっこ内は影響度)。
・ CVE-2021-33193: HTTP/2メソッドインジェクションとmod_proxyを介したリクエスト分割 (中程度)
・ CVE-2021-34798: httpdコアにおけるNULLポインター逆参照 (中程度)
・ CVE-2021-36160: mod_proxy_uwsgiにおける範囲外のメモリ読み取り (中程度)
・ CVE-2021-39275: ap_escape_quotesにおけるバッファオーバーフロー (低)
・ CVE-2021-40438: mod_proxyにおけるSSRF(サーバサイドリクエストフォージェリ) (高)
それぞれの詳細は、Apache HTTP Serverの次の脆弱性情報ページにまとめられている。
・ Fixed in Apache HTTP Server 2.4.49 - Apache HTTP Server 2.4 vulnerabilities
シスコのセキュリティアドバイザリは、上記の脆弱性の影響を受ける自社の製品の調査結果と、それぞれの対処法などをまとめたもので、次のページで公開されている。
・Multiple Vulnerabilities in Apache HTTP Server Affecting Cisco Products: November 2021